Zabezpieczenia portu
Przed wdrożeniem przełącznika trzeba zabezpieczyć wszystkie jego porty (interfejsy). Jednym ze sposobów jest wdrożenie funkcji o nazwie zabezpieczenia portu. Zabezpieczenia portu ograniczają liczbę poprawnych adresów MAC obsługiwanych przez port. Tylko autoryzowane adresy MAC mają dostęp do sieci, podczas gdy inne adresy MAC są odrzucane.
Zabezpieczenia portów mogą być skonfigurowane tak, by zezwalały na dostęp jednemu lub więcej adresów MAC. Jeżeli liczba adresów MAC dopuszczonych na porcie jest ograniczona do jednego, to tylko urządzenie z tym adresem MAC można podłączyć portu.
Jeżeli port jest skonfigurowany z zabezpieczeniem i osiągnięta jest maksymalna liczby adresów MAC, wszelkie dodatkowe próby połączenia przez nieznane adresy MAC generują naruszenie zabezpieczeń. Rys. 1 podsumowuje te punkty.
Bezpieczne adresy MAC
Istnieje kilka sposobów skonfigurowania zabezpieczeń portów. Bezpieczny adres jest oparty na konfiguracji i obejmuje:
- Bezpieczne statyczne adresy MAC - adresy MAC, które są ręcznie skonfigurowane na porcie za pomocą polecenia switchport port-security mac-address adres-mac w trybie konfiguracji interfejsu. Skonfigurowane w ten sposób adresy MAC są przechowywane w tablicy adresów i dodawane do bieżącej konfiguracji przełącznika.
- Bezpieczne dynamiczne adresy MAC - adresy MAC rozpoznawane są dynamicznie i następnie przechowywane w tablicy adresów. Skonfigurowane w ten sposób adresy MAC są usuwane przy restartowaniu przełącznika.
- Bezpieczne przyklejone adresy MAC - adresy MAC, które mogą być dynamicznie rozpoznane lub ręcznie skonfigurowane, następnie zapisane w tablicy adresów i dodane do bieżącej konfiguracji.
Bezpieczne przyklejone adresy MAC
Aby skonfigurować interfejs do konwersji dynamicznie rozpoznanych adresów MAC na bezpiecznie przyklejone adresy MAC i dodać je do bieżącej konfiguracji, należy włączyć przyklejone rozpoznawanie. Przyklejone rozpoznawanie jest włączane na interfejsie za pomocą polecenia trybu konfiguracji interfejsu switchport port-security mac-address sticky.
Gdy zostanie wprowadzone to polecenie, przełącznik konwertuje wszystkie dynamicznie rozpoznane adresy MAC, w tym te, które były dynamicznie rozpoznane przed włączeniem przyklejonego rozpoznawania, do bezpiecznych przyklejonych adresów MAC. Wszystkie bezpiecznie przyklejone adresy MAC dodawane są do tablicy adresów oraz do bieżącej konfiguracji.
Bezpieczne przyklejone adresy MAC mogą być także zdefiniowane ręcznie. Gdy bezpieczne przyklejone adresy MAC są skonfigurowane za pomocą polecenia trybu konfiguracji interfejsu switchport port-security mac-address sticky mac-address, wszystkie określone adresy są dodawane do tablicy adresów i bieżącej konfiguracji.
Jeśli bezpieczne przyklejone adresy MAC zostaną zapisane w pliku konfiguracyjnym, to przy ponownym uruchomieniu przełącznika lub przy zamknięciu i otwarciu interfejsu interfejs nie musi ponownie ich rozpoznawać. Nie zapisane adresy zostaną utracone.
Jeśli przyklejone rozpoznawanie jest wyłączone przy użyciu polecenia trybu konfiguracji interfejsu no switchport port-security mac-address sticky, bezpieczne przyklejone adresy MAC pozostają częścią tablicy adresów, ale są usunięte z bieżącej konfiguracji.
Rys. 2 przedstawia charakterystykę bezpiecznych przyklejonych adresów MAC.
Należy pamiętać, że polecenia switchport port-security nie będą funkcjonować, dopóki zabezpieczenia portu są zostaną włączone.